Почему не работает утилита traceroute? (Проверяем доступность узла в локальной сети.)

[olecya]

жучара, Попробуйте то что я описала, по крайней мере первую часть. У вас есть общая сеть на две машины вот ей и воспользуйтесь для передачи пакетов. По крайней мере будет что-то осмысленно-рабочее и можно будет по кусочку тестировать городульки

[Hephaestus]

Просто вы спросили про адрес 192.168.1.2, на фига он в таблице маршрутизации

Я спросил, нафига он в таблице маршрутизации именно на этой машине.

я и удивился, про один вы спрашиваете, а про другой нет.

Я про него спрашиваю, потому что он мешает.
Именно из-за него у Вас не идут пинги там, где Вы их ожидаете.

Ну а прописываются они автоматом.

nmcli неплохо их так туда прописывает.

Верю.
Но в таком случае, надо отдельно позаботиться о заполнении таблицы маршрутизации правильными значениями,
раз уж автоматом получается не то, что нужно.
А ещё лучше, решить этот вопрос другим способом.
Я ведь не просто так давал выше ссылку на старую тему.
Там корректная пересылка пакетов во всех нужных направлениях обеспечивается iptables.
На записи таблицы маршрутизации (тем более, созданные автоматом) надежды крайне мало.
Она сгодится только в самых простых случаях.

[Bizdelnick]

я два миллиарда раз написал, что включал.

Во-первых, меньше, во-вторых, без уточнения, на какой машине, в-третьих, по-прежнему ждём вывода ip r get ....

Наверное, нужно для каждого соединения НЕ ДОБАВЛЯТЬ шлюз по умолчанию.

Если соединение не используется для доступа к другим подсетям, то добавлять не нужно, разумеется. Если используется для доступа к некоторым подсетям, то нужно прописывать маршрут только до них через этот узел, а не делать его шлюзом по умолчанию. Шлюз по умолчанию — это узел, через который надо ходить в глобальную сеть. Но у Вас и глобальной сети-то никакой нету, кто Вас знает, чего Вы пытаетесь добиться, и, соответственно, какие средства можно для этого посоветовать.

[Hephaestus]

Я вижу- к каждому соединению все пихают шлюз по умолчанию.

Кто такие эти "все", которые к каждому соединению пихают шлюз?

Ну и я давай пихать.

Не, напихать-то можно, только работать будет не так, как Вы ожидали.

Шлюз по умолчанию для конкретного соединения вдруг становится ОБЩИМ и это нужно учитывать.

Не шлюз общий, а таблица общая.
Вот если бы была на каждое соединение своя таблица, тогда - да:
один шлюз дефолтный, другой - запасной, третий ещё какой-нибудь... и всё это относится к одному соединению.
Но всё иначе. Увы и ах.
Таблица общая, а записи в ней снабжены метриками.

А вот в каком случае сработает запись default с метрикой 101, когда рядом есть запись default с метрикой 100, я не знаю.
Разве что адрес с метрикой 100 окажется недоступным. Тогда, глядишь, оно и переключится. После всяких таймаутов.
Но я живых примеров не встречал.

P.S Хотя беглый поиск в сети показал, что есть вариант с несколькими таблицами маршрутизации.
Но я с этим как-то не сталкивался.

[s.xbatob]

olecya
Ой, быть может что угодно. Тут уже наворочено от души.
Скорее всего проблемы с маршрутизацией. Альтернативные пути — это уже опасно. Хотя — работает. Ещё фильтрация пакетов бывает, выключенная маршрутизация.
А главное — непонимание принципов маршрутизации. В том числе того факта, что source routing нет, и ответные пакеты добираются своим путём независимо от того, как и откуда прилетел пакет исходный.

Добавлено (13:59):

я уже автору задавал вопрос, что требуется: научиться работать с кучей сетей с непростой конфигурацией или чтобы работало? Только ответа не получил.

[Bizdelnick]

А вот в каком случае сработает запись default с метрикой 101, когда рядом есть запись default с метрикой 100, я не знаю.

В том случае, когда запись с метрикой 100 будет удалена (после опускания соответствующего интерфейса, то бишь).

[жучара]

А главное — непонимание принципов маршрутизации. В том числе того факта, что source routing нет, и ответные пакеты добираются своим путём независимо от того, как и откуда прилетел пакет исходный.

я и нигде не скрывал, собсно, что я только учусь. Впервые. Низкий вам поклон, что ущипнули меня. Тут без вас щипателей хватает.

[s.xbatob]

жучара Всё-таки ответьте, что вы хотите? Наделать кучу сетей на ровном месте и прыгать по ним? Это и в самом деле не так просто, как хотелось бы.
Или чтоб работало? Тогда попробую рассказать как работать с мостами. Это самый лёгкий путь, хотя и со своими сюрпризами.
В любом случае: зачем вам на гостевых системах по две сети?

Добавлено (14:28):

а ещё из вас информацию приходится выдавливать по кусочку, как из Мальчиша-Кибальчиша Тут не зазорно не знать.

[Hephaestus]

В том случае, когда запись с метрикой 100 будет удалена

Не, ну это очевидно. Кроме того, это уже будет одна запись default, а не две.
А я имел в виду, что вот их две, обе default, у каждой своя метрика, и срабатывают по очереди, в зависимости от ситуации.
Такого не встречал.

[olecya]

Задание вырождено, хоть мне велят не упрощать задачу

А почему вы для задания с разветвленной топологией сети выбрали такой подход?
Я так понимаю это не последнее ваше задание. Есть хороший симулятор GNS3 для моделирования. В нем удобные виртуальные соединения между машинами. Есть встроенная упрощенная модель (заглушка) которая может только пинговаться и любые виртуалки легко клонируются сразу с подменой ip и мак адресов из шаблона. Ну и на самом деле несмотря то, что это все происходит в виртуальной среде вполне возможно подключение созданной сети к глобальной и все будет работать так как если бы это было построено на реальном железе. То есть фактически это эмулятор сетевых топологий. Когда у меня был комп с 2-х ядерным процессором и 8 гига памяти я запросто могла создавать сеть из 10 виртуальных машин, кучи "заглушек", встроенных маршрутизаторов и хабов. Можно поднимать и свои программируемые маршрутизаторы, а от циско удастся найти кучу готовых образов в сети. Я пользовалась qemu но по моему там возможно задать виртуалбокс

[olecya]

по-прежнему ждём вывода ip r get ....

Напомню почему это важно. Допустим для моего компьютера(192.168.43.175) есть шлюз-телефон имеющий два интерфейса, Одним интерфейсом он смотрит во внутрь то есть на мой ноутбук и на этом интерфейсе источником будет указан адрес моего ноутбука
Проверяем шлюз для ноутбука

Shell

[nez@rox ~]$ ip r 192.168.43.175
default via 192.168.43.1 dev wlp1s0 proto dhcp
192.168.43.0/24 dev wlp1s0 proto kernel scope link src 192.168.43.175
192.168.122.0/24 dev virbr0 proto kernel scope link src 192.168.122.1

У меня 2 поднятых интерфейса, нижний включенный в мост(так же как виртуальный интерфейс виртуалки который здесь не выводится) и один шлюз
Проверяем для интерфейса c адресом 192.186.43.1 моего шлюза

Shell

[nez@rox ~]$ ip r get 192.168.43.1
192.168.43.1 dev wlp1s0 src 192.168.43.175

Как видим все правильно. Только надо учитывать что имя интерфейса принадлежит нашей машине-ноутбуку
Теперь можем например проверить routing моей виртуалки чей виртуальный интерфейс включен в мост на моем ноутбуке
Проверяем с моего ноутбука

Shell

[nez@rox ~]$ ip r get 192.168.122.84
192.168.122.84 dev virbr0 src 192.168.122.1

Проверяем с моей виртуалки

Shell

nez@debian:~$ ip r
default via 192.168.122.1 dev enp1s0
192.168.122.0/24 dev enp1s0 proto kernel scope link src 192.168.122.84
nez@debian:~$ ip r get 192.168.122.1
192.168.122.1 dev enp1s0 src 192.168.122.84
nez@debian:~$ ip r get 192.168.43.1
192.168.43.1 via 192.168.122.1 dev enp1s0 src 192.168.122.84

На моем компьютере сходятся 2 сети и между ними нет доступа пока я не настрою 2 вещи
1. Пропишу переадресацию в ядре(это вы научились делать отсылая разрешающую единичку)
2. Настрою ядерный сетевой фильтр. Эти правила прописывает динамически программа виртуализации.

Spoiler

[nez@rox ~]$ sudo iptables -S

Код: Выделить всё

-P INPUT ACCEPT
-P FORWARD ACCEPT
-P OUTPUT ACCEPT
-N LIBVIRT_FWI
-N LIBVIRT_FWO
-N LIBVIRT_FWX
-N LIBVIRT_INP
-N LIBVIRT_OUT
-A INPUT -j LIBVIRT_INP
-A FORWARD -j LIBVIRT_FWX
-A FORWARD -j LIBVIRT_FWI
-A FORWARD -j LIBVIRT_FWO
-A OUTPUT -j LIBVIRT_OUT
-A LIBVIRT_FWI -d 192.168.122.0/24 -o virbr0 -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A LIBVIRT_FWI -o virbr0 -j REJECT --reject-with icmp-port-unreachable
-A LIBVIRT_FWO -s 192.168.122.0/24 -i virbr0 -j ACCEPT
-A LIBVIRT_FWO -i virbr0 -j REJECT --reject-with icmp-port-unreachable
-A LIBVIRT_FWX -i virbr0 -o virbr0 -j ACCEPT
-A LIBVIRT_INP -i virbr0 -p udp -m udp --dport 53 -j ACCEPT
-A LIBVIRT_INP -i virbr0 -p tcp -m tcp --dport 53 -j ACCEPT
-A LIBVIRT_INP -i virbr0 -p udp -m udp --dport 67 -j ACCEPT
-A LIBVIRT_INP -i virbr0 -p tcp -m tcp --dport 67 -j ACCEPT
-A LIBVIRT_OUT -o virbr0 -p udp -m udp --dport 53 -j ACCEPT
-A LIBVIRT_OUT -o virbr0 -p tcp -m tcp --dport 53 -j ACCEPT
-A LIBVIRT_OUT -o virbr0 -p udp -m udp --dport 68 -j ACCEPT
-A LIBVIRT_OUT -o virbr0 -p tcp -m tcp --dport 68 -j ACCEPT

Если делать вручную, достаточно нескольких строчек что бы настроить фильтр для учебного пользования
На виртуалке понятно, это не шлюз с 2 сетями.

Shell

nez@debian:~$ sudo iptables -S
-P INPUT ACCEPT
-P FORWARD ACCEPT
-P OUTPUT ACCEPT

И переадресация в ядре не включена

Shell

nez@debian:~$ cat /proc/sys/net/ipv4/ip_forward
0

Это показательно но предсказуемо, в вашем случае с 4 нтерфейсами на одно соединение и 4 gate way это требует выяснения

[Red Gremlin]

P.S Хотя беглый поиск в сети показал, что есть вариант с несколькими таблицами маршрутизации.
Но я с этим как-то не сталкивался.

Все сталкивались. По умолчанию существуют 3 таблицы — main, local и default. ip ro выводит содержимое таблицы main. А вообще, читайте LARTC, особенно это касается топикстартера.

[olecya]

Red Gremlin, Спасибо

Shell

ip rule list
0: from all lookup local
32766: from all lookup main
32767: from all lookup default

Другими словами дефолтная таблица для менеджера может быть легко изменена если динамически сделать новую запись в main.
А нет то что мы видим под именем default в выводе ip r это на самом деле таблица main ip r l t main

Добавлено (11:24):

Извиняюсь менеджером достаточно записать в таблицу default чтобы изменить main. Приоритеры явно видны на выводе

Добавлено (11:32):

В последнем выводе не права, большим приоритетом здесь тоже считается меньшее число значит если создать таблицу следующую за local то ее правила будут перебивать нижние

[Hephaestus]

По умолчанию существуют 3 таблицы — main, local и default. ip ro выводит содержимое таблицы main.

Этого я не знал. Но я имел в виду другое: именованные таблицы, созданные пользователем, помимо тех, которые по умолчанию.

[olecya]

У меня мысль. Правда я сегодня косячу как никогда, но рискну. Почему у вас физическая машина не участвует в деле. Я до сих пор не знаю что за виртуальную машину вы используете и что подразумеваете под виртуальным проводом. Думаю и с виртуалбоксом виртуальные интерфейсы создаются при запуске гостя. Но основывюсь на опыте в qemu.
Создаем четыре виртуальных интерфейса без моста например при помощи tunctl, запускаем гостей привязанных к этим интерфейсам, по два на каждого и уже на хосте связываем как надо. Тоесть получается два виртуальных провода но не на прямую, а через шлюз в роли которого выступает физическая машина. И все будет гораздо удобней и без сетевых эмуляторов

[Hephaestus]

Я до сих пор не знаю что за виртуальную машину вы используете и что подразумеваете под виртуальным проводом.

Виртуальная машина - VirtualBox.
"Виртуальный провод" - настройка сети в режиме "внутренняя сеть", типа гостевые связаны сетью друг с другом и больше ни с кем (ни с хостом, ни с интернетом).
Обсуждали мы всё это в соседней теме. Здесь как бы продолжение - слегка другая задача на том же "стенде".

Почему у вас физическая машина не участвует в деле.

Для большей изоляции и "чистоты эксперимента". Как я уже сказал, гостевые связаны исключительно друг с другом.
По этой же причине, например, ТС не настраивает доступ к гостевым по ssh (хотя это позволило бы нормально копировать текст из консоли, а не париться со скриншотами/флешками).

Вообще, ТС - молодец, порой ставит вопросы, которые мне бы даже в голову не пришли. Чуточку внимательности - цены бы ему не было.
А то всё какие-то затруднения: то опечатка в команде, то текст из консоли руками перебивать вместо копирования, то инструкция какая-нибудь посторонняя - попробуй пойми, почему оно не работает...

[жучара]

Просто вы спросили про адрес 192.168.1.2, на фига он в таблице маршрутизации

Я спросил, нафига он в таблице маршрутизации именно на этой машине.

я и удивился, про один вы спрашиваете, а про другой нет.

Я про него спрашиваю, потому что он мешает.
Именно из-за него у Вас не идут пинги там, где Вы их ожидаете.

Ну а прописываются они автоматом.

nmcli неплохо их так туда прописывает.

Верю.
Но в таком случае, надо отдельно позаботиться о заполнении таблицы маршрутизации правильными значениями,
раз уж автоматом получается не то, что нужно.
А ещё лучше, решить этот вопрос другим способом.
Я ведь не просто так давал выше ссылку на старую тему.
Там корректная пересылка пакетов во всех нужных направлениях обеспечивается iptables.
На записи таблицы маршрутизации (тем более, созданные автоматом) надежды крайне мало.
Она сгодится только в самых простых случаях.

ну, в общем-то на этом можно остановиться. Через nmcli таблица маршрутизации очень даже легко и неплохо заполняется, главное соединение опустить-поднять
http://itisgood.ru/2018/12/04/kak-dobavit-setevoj-shljuz-ili-staticheskij-marshrut-na-centos-rhel-6-7/

Цепочка из шести машин у меня в сети, всё пингуется и трассируется. Не сама изощрённая сеть, ну так я и с ней повозился. Вопросы, конечно, возникли новые. Так, одна из машин начинает пинговать всю сеть. tshark-ом определил, что она ищет 192.168.1.251 адрес. Этот адрес, у них, похоже, по умолчанию шлюз по умолчанию, а мне велели его не задействовать, ну я и не задействую вот она его и ищет. Когда это соединение вырубаешь, хитрые машины, посовещавшись, выбирают из себя другую машину, теперь эта уже ищет 192.168.1.251. Пускай ищут, пока не цепляет.

[жучара]

Задание вырождено, хоть мне велят не упрощать задачу

А почему вы для задания с разветвленной топологией сети выбрали такой подход?
Я так понимаю это не последнее ваше задание. Есть хороший симулятор GNS3 для моделирования. В нем удобные виртуальные соединения между машинами. Есть встроенная упрощенная модель (заглушка) которая может только пинговаться и любые виртуалки легко клонируются сразу с подменой ip и мак адресов из шаблона. Ну и на самом деле несмотря то, что это все происходит в виртуальной среде вполне возможно подключение созданной сети к глобальной и все будет работать так как если бы это было построено на реальном железе. То есть фактически это эмулятор сетевых топологий. Когда у меня был комп с 2-х ядерным процессором и 8 гига памяти я запросто могла создавать сеть из 10 виртуальных машин, кучи "заглушек", встроенных маршрутизаторов и хабов. Можно поднимать и свои программируемые маршрутизаторы, а от циско удастся найти кучу готовых образов в сети. Я пользовалась qemu но по моему там возможно задать виртуалбокс

так что было, то и взял. VirtualBox нормальный стенд, пока без претензий.

[Hephaestus]

Цепочка из шести машин у меня в сети, всё пингуется и трассируется. Не сама изощрённая сеть, ну так я и с ней повозился. Вопросы, конечно, возникли новые.

Блин... Вы на лету меняете условия задачи.
Пока я Вам пытался разъяснить, почему нет пингов между 192.168.2.2 и 192.168.3.2,
Вы уже здесь, напихали четыре новых соединения с новыми адресами и шлюзами.

Сейчас у Вас уже что-то совсем другое: какая-то цепочка из шести машин...

Если уж Вы запрашиваете помощь, тогда либо отслеживайте тему и читайте сообщения в тот же день, а не спустя сутки, либо за эти сутки не вносите кардинальных изменений.
И давайте всё-таки хоть какую-то обратную связь, а то Вам пять человек советуют разные вещи, а что из этого Вы выбираете и в каком направлении двигаетесь, неизвестно.

[жучара]

Цепочка из шести машин у меня в сети, всё пингуется и трассируется. Не сама изощрённая сеть, ну так я и с ней повозился. Вопросы, конечно, возникли новые.

Блин... Вы на лету меняете условия задачи.
Пока я Вам пытался разъяснить, почему нет пингов между 192.168.2.2 и 192.168.3.2,
Вы уже здесь, напихали четыре новых соединения с новыми адресами и шлюзами.

так переспросили бы сразу. Просто показал, что специально таблицу маршрутизации не создаёшь, а она сама создаётся, вот в таком вот виде, вот и всё.

Сейчас у Вас уже что-то совсем другое: какая-то цепочка из шести машин...

Было две машины, стало шесть. Знания, которые я получил в этой теме применил тык скыть на практике.

...Да блин. Было:

p.png (33.42 КБ) 553 просмотра

Стало:

g.png (34.53 КБ) 553 просмотра

Хорошо ведь, правда? А теперь можно эту сеть масштабировать, что я и сделал:

r.png (5.1 КБ) 553 просмотра

Всё, задачу мы решили.

Если уж Вы запрашиваете помощь, тогда либо отслеживайте тему и читайте сообщения в тот же день, а не спустя сутки, либо за эти сутки не вносите кардинальных изменений.
И давайте всё-таки хоть какую-то обратную связь, а то Вам пять человек советуют разные вещи, а что из этого Вы выбираете и в каком направлении двигаетесь, неизвестно.

как видите, не то чтобы кардинальных изменений, а вообще никаких изменений в условии задачи нет.

Я считаю, когда вы написали истину и собеседник замолк, он эту истину переваривает. Вот же вы писали.
Re: Почему не работает утилита traceroute?
Всё, как отреагировать на истину? Ну вот я опробовал на практике, убедился, что всё нормально и отписался. Спасибо, конечно. Пальцы вверх потом поставлю. Да, я забыл ещё сказать, я с самого начала хотел сделать красиво в моём понимании, то есть обойтись без таблицы маршрутизации, а только шлюзами по умолчанию. Но сейчас понимаю, что это неправильно.

[Hephaestus]

так переспросили бы сразу.

Это я должен переспрашивать?
Из Вас и так информацию клещами вытягивать приходится.

Всё, как отреагировать на истину? Ну вот я опробовал на практике, убедился, что всё нормально и отписался.

Это только сейчас стало ясно, что Вы опробовали и оно сработало.
До этого Вы нигде не упоминали, что именно Вы пробовали, и какой именно момент сработал.

Да, я забыл ещё сказать, я с самого начала хотел сделать красиво в моём понимании, то есть обойтись без таблицы маршрутизации, а только шлюзами по умолчанию.

Между прочим, это вполне могло получиться.
Запись в таблицу маршрутизации добавляется при поднятии соответствующего интерфейса.
И новая запись добавляется с меньшей метрикой, попадая в верхнюю часть таблицы.
У Вас на проблемной машине (где пинги не шли) было две записи default, одна (правильная и нужная) оказалась ниже,
чем другая (ненужная). В результате подхватывалась эта ненужная и мешала нормальной работе.
Добавление интерфейсов в определенном порядке могло привести к тому, что "нужная" запись default
оказалась бы "вверху", а лишняя (ненужная), пусть и создалась, но оказалась бы "внизу".
Тогда пинги бы работали, и Вы бы вообще не заметили никакой проблемы.

Но сейчас понимаю, что это неправильно.

Да оно не то, чтобы неправильно, просто ненадежно.
Записи в таблице (эти самые default) добавляются и удаляются динамически в зависимости от поднятия или опускания соответствующих интерфейсов, и их порядок (на первый взгляд, случайный) может измениться. И сразу что-то перестанет работать, хотя казалось бы, ничто не предвещало.

Я, например, настраивая в своё время "умный шлюз" на базе linux (для небольшой локальной сети), реализовывал перенаправление пакетов силами iptables и вообще не оглядывался на таблицу маршрутизации.

[жучара]

так переспросили бы сразу.

Это я должен переспрашивать?

отвечу вопросом на вопрос- это я должен понимать, что вам непонятно? Ну а так-то конечно, демократия у нас. Хотите переспрашивайте, не хотите не переспрашивайте. Переспросите- объясню, не переспросите- не объясню. Мне вот непонятно, так я переспрашиваю. За спрос денег не берут. За образ мыслей спроса нет. Спроси меня, как.

так переспросили бы сразу.

Из Вас и так информацию клещами вытягивать приходится.

а вот это ложь

Всё, как отреагировать на истину? Ну вот я опробовал на практике, убедился, что всё нормально и отписался.

Это только сейчас стало ясно, что Вы опробовали и оно сработало.
До этого Вы нигде не упоминали, что именно Вы пробовали, и какой именно момент сработал.

как только всё сделал, так сразу и отписался. Я же не могу делать сегодня, а отписываться вчера.

Да, я забыл ещё сказать, я с самого начала хотел сделать красиво в моём понимании, то есть обойтись без таблицы маршрутизации, а только шлюзами по умолчанию.

Между прочим, это вполне могло получиться.
Запись в таблицу маршрутизации добавляется при поднятии соответствующего интерфейса.
И новая запись добавляется с меньшей метрикой, попадая в верхнюю часть таблицы.
У Вас на проблемной машине (где пинги не шли) было две записи default, одна (правильная и нужная) оказалась ниже,
чем другая (ненужная). В результате подхватывалась эта ненужная и мешала нормальной работе.
Добавление интерфейсов в определенном порядке могло привести к тому, что "нужная" запись default
оказалась бы "вверху", а лишняя (ненужная), пусть и создалась, но оказалась бы "внизу".
Тогда пинги бы работали, и Вы бы вообще не заметили никакой проблемы.

Для схемы из двух компов- да. Ну вот я опробовал сейчас обойтись только шлюзами по умолчанию, получилось.

Да оно не то, чтобы неправильно, просто ненадежно.Записи в таблице (эти самые default) добавляются и удаляются динамически в зависимости от поднятия или опускания соответствующих интерфейсов, и их порядок (на первый взгляд, случайный) может измениться. И сразу что-то перестанет работать, хотя казалось бы, ничто не предвещало.

Ну да, есть интерфейс- есть связь, нет интерфейса- нет связи.

Я, например, настраивая в своё время "умный шлюз" на базе linux (для небольшой локальной сети), реализовывал перенаправление пакетов силами iptables и вообще не оглядывался на таблицу маршрутизации.

iptables это, наверное, та же таблица маршрутизации, только по другому?

[Hephaestus]

отвечу вопросом на вопрос- это я должен понимать, что вам непонятно?

Не в этом дело. Вы имеете задачу. Создаете тему.
Тема обсуждается, Вам что-то советуют. Вы пробуете.
А вот обратная связь - это Ваша забота.
Дать Вам рекомендацию и потом ещё переодически Вас дергать, переспрашивать, дескать, получилось или нет - это было бы слишком.

как только всё сделал, так сразу и отписался. Я же не могу делать сегодня, а отписываться вчера.

А, пардон, значит я не так понял.
Писал-то я ещё три дня назад. Я думал, Вы тогда же и опробовали.
И по Вашим словам, отписались об этом (я подумал, что отписались тогда же). Начал пролистывать тему, искать, где отписались, не нашёл.

iptables это, наверное, та же таблица маршрутизации, только по другому?

iptables - это нечто большее, чем таблица маршрутизации.
Иногда его называют фаерволом, опять же, iptables - это больше, чем фаервол.
На самом деле iptables - это интерфейс к фильтру сетевых пакетов на уровне ядра.
А зная, как работать с сетевыми пакетами, можно устроить и фаервол, и маршрутизацию, и прокси,
и много чего ещё. Это отдельная и довольно интересная тема, по iptables руководство есть на русском языке, однако требует вдумчивого неторопливого изучения.
Вероятно, кто-то скажет, что это устарело и всё такое прочее, но я не расположен спорить на эту тему.

[Bizdelnick]

Это отдельная и довольно интересная тема, по iptables руководство есть на русском языке, однако требует вдумчивого неторопливого изучения.

Только есть два момента. Во-первых, для маршрутизации лучше таки использовать таблицы маршрутизации, хотя бы из соображений эффективности. А во-вторых, iptables уже утратил актуальность, и начинать его изучение с нуля сейчас бессмысленно. Надо учить nftables.

[жучара]

как только всё сделал, так сразу и отписался. Я же не могу делать сегодня, а отписываться вчера.

А, пардон, значит я не так понял.
Писал-то я ещё три дня назад. Я думал, Вы тогда же и опробовали.
И по Вашим словам, отписались об этом (я подумал, что отписались тогда же). Начал пролистывать тему, искать, где отписались, не нашёл.

всё, остановились на том, что нужно делать правильную таблицу маршрутизации и, быть может, вручную (для начала). А она не делается. Не работает ни хрена. Пришлось лезть к Олиферам (я сомневался в своих знаниях, не сомневался бы, опять бы начал спрашивать). Оказалось чё, я вместо целевого адреса (например, 192.168.2.2) писал односетевой интерефейс (например, 192.168.2.1) Ну а чё нет? 192.168.2.1 отправит куда нужно, посеть же одна... Так и просидел полночи. Путь познания вообще тернист.

Потом ещё мастырил сеть из шести компов.
Потом ещё возился с tshark- мне нужно было отслеживать пакеты на промежуточных узлах
Потом запалил какие-то левые несанкционированные ICMP пакеты в сети (ну я писал про них)
Потом вспомнил, что тема-то началась с traceroute, давай с ней возиться (ну, тут быстро)

Вот так время и пролетело.

[Bizdelnick]

Оказалось чё, я вместо целевого адреса (например, 192.168.2.2) писал односетевой интерефейс (например, 192.168.2.1) Ну а чё нет? 192.168.2.1 отправит куда нужно, посеть же одна...

Так и надо указывать подсеть (192.168.2.0/24), а не один адрес. Откуда ему знать, какая там маска? Если не указана — считает, что 32.

[Hephaestus]

Во-первых, для маршрутизации лучше таки использовать таблицы маршрутизации, хотя бы из соображений эффективности.

Я, честно говоря, не осилил, как с этим нормально работать,
учитывая, что всякие default удаляются/добавляются практически без спросу.

А во-вторых, iptables уже утратил актуальность, и начинать его изучение с нуля сейчас бессмысленно. Надо учить nftables.

Только вот нет руководства (а тем более на русском языке), подобного тому, которое есть для iptables.
Да, есть wiki, но это несравнимо.

[Bizdelnick]

Я, честно говоря, не осилил, как с этим нормально работать

Это примерно как не осилить забивание гвоздей молотком…

Только вот нет руководства (а тем более на русском языке), подобного тому, которое есть для iptables.

Насчёт языка ­— извиняйте, в IT сейчас с одним русским сильно дальше эникейщика на бюджетке не уедешь. А что почитать на английском — есть. Например, Steve Suehring, Linux Firewalls: Enhancing Security with nftables and Beyond, 4th Edition.
P. S. Нет, я тоже не читал. Нет такой острой необходимости, и ещё лет несколько на iptables-nft протянуть можно спокойно. Но начинать изучать iptables сейчас никому не посоветую.

[Hephaestus]

Это примерно как не осилить забивание гвоздей молотком…

Хорошо. Вы можете вкратце объяснить,
как избежать проблем с записями default, которые добавляются в таблицу в зависимости от состояния интерфейсов
и могут тем самым нарушить нормальную работу?
Ни гвоздь, ни молоток не связаны ни с какой автоматикой,
в отличие от таблицы маршрутизации, которая может перестраиваться буквально на лету.
Впрочем, я и не вникал особо в вопросы заполнения этих таблиц, поскольку решал задачу другим способом

[Bizdelnick]

Вы можете вкратце объяснить, как избежать проблем с записями default, которые добавляются в таблицу в зависимости от состояния интерфейсов и могут тем самым нарушить нормальную работу?

Сделать так, чтобы добавлялись нужные записи, а ненужные не добавлялись. Как это делается nmcli, вон, выше писали (я не в теме, так что верю на слово, что работает). Если через interfaces настраивать, то там можно напрямую прописывать команды ip route … в post-up и pre-down. Если как-то по-другому — там другие способы, понятное дело.

Добавлено (05.09.2020 13:11):

i	Уведомление от модератора Bizdelnick
	офтопик уехал в О знании английского и переводах